免责声明
由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
信息收集
nmap -p- -sT --min-rate=1000 -Pn 10.129.95.200
Udp协议
nmap -p- -sU --min-rate=1000 -Pn 10.129.95.200
nmap -p53,80,135,139,389,445,464,636,3268,3269,3389,5985,9389,49666,49668,49674,49678,49690,49735 -sC -sV -Pn -sT 10.129.95.200
发现两个域名MEGACORP.LOCAL与MULTIMASTER.MEGACORP.LOCAL加入hosts文件中,尝试区域传输失败
445端口自动登陆失败
ldap协议,基本查询后也没有发现新的东西,就发现了一个账户为multimaster[email protected]
似乎无法登录后台
目录扫描后发现,出现了巨多的403,这明显是不正常的情况,应该是有WAF存在
在这个页面点击小按钮发现会返回很多用户名,加入用户名字典中
F12,发现它会把输入的信息提交到/api/getColleagues这个页面
需要利用post提交参数
利用burp发现参数为 name而且为json格式,burp出问题无法获取返回数据包
只好利用curl了
name参数的值尝试sql注入,但是因为有waf需要尝试编码,否则会被拦截
在尝试后发现unicode编码会返回null,似乎可用利用这种编码尝试sql注入
自己用go写了一个可用设置url,并且可用设置request内容自动Unicode编码的脚本
可用看到已经成功实现了sql注入绕过
成功实现了sql注入,获取了存储的hash,真滴c
利用hash-identifier识别hash的类型,发现长度为384
在https://hashcat.net/wiki/doku.php?id=example_hashes搜索384,
尝试了几个后发现为Keccak-384,
成功破解了三个hash
利用之前收集的用户名字典与刚获取的密码进行爆破smb与wmi,结果一个都不行
获取域的RID枚举域用户
获取域名
获取管理员的Domain-SID
去除0x与最后8位成功获取了Domain-SID:
0105000000000005150000001C00D1BCD181F1492BDFC236
因为默认管理员的RID为500,转化为
0x0105000000000005150000001C00D1BCD181F1492BDFC236F4010000
成功获取了管理员账户名称
还需要写枚举脚本
凌晨四点了,不想写了借用0xdf的python枚举脚本
枚举后,会发现一堆域用户加入用户名字典中,再利用之前获取的三个密码
通过crackmapexec进行爆破,后会发现MEGACORPtushikikatomo:finance1是正确的
crackmapexec smb 10.129.95.200 -u user.txt -p pass.txt --continue-on-success
利用evil-winrm成功登陆
查看一下进程,发现了很多code正在运行
利用Visual Code进行RCE
上传cefdebug.exe,并运行
可惜每个uuid只会存活几秒钟后就会关闭,延迟太高了,这一步无法完成,直接gg
md,利用ZeroLogon 三秒撸域控获取administrator的hash
成功获取了administrator权限
为了方便师傅们交流学习,我特意创建了一个群聊。内部会分享一些脱敏的漏洞报告,渗透测试实战案例,更有若干大牛巨佬分享经验。后续还会提供一些福利包括送书,小礼物等等,欢迎各位师傅进群交流
由于LK的安全小密圈群聊人数已满200人,扫码进不了的师傅可以添加机器人secbot回复LK安全即可加入群聊
关于知识星球
欢 迎 加 入 星 球 !
星球内容展示
如何加入星球
原文始发于微信公众号(LK安全):HTB靶场渗透系列01-Multimaster
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论